基于动态路径标识的因特网安全机制研究

摘要

拒绝服务攻击(Denial of Service，DoS)，尤其是分布式拒绝服务攻击(Distributed DoS，DDoS)已经成为最严重的网络安全威胁之一。由于TCP/IP协议设计之初的缺陷和因特网的开放性本质，以及攻击者的分布式等特性，使得预防和消除这类攻击变得十分困难。因此，如何防御因特网的拒绝服务攻击已成为网络安全领域的一项重要的研究内容。针对该领域中的主要问题，本文开展了一系列研究，主要体现在如下几个方面： 针对静态路径标识技术的不足，提出了基于RF位的动态路径标识方案(RFPi)。以IP包首部的RF位作为标志，路由器根据当前数据包的TTL值，推算其已经过的旅行距离，动态插入1～16bits的标识。该方案最大程度地利用了标记域的空间，具有更好的部署可扩展性。 为提高攻击包和合法包的区分效果，提出了多阶段的学习过滤方案。在实施Pi方案的前提下，通过多阶段的学习和过滤，将单次学习无法识别的混杂数据包再一次进行学习，达到提高区分效果的目的。 由于DDoS攻击经常运用IP欺骗技术对攻击源地址进行伪装，增大了防御的难度。作者设计了基于历史IP地址和Pi值数据库(IPPiD)的DDoS攻击防御系统，提出了系统的部署策略和参数设定方案，并将统计分析的思想应用到了标记值和特征值的优化存储，有效减少了存储空间和匹配的查找时间，提高了系统对攻击的反应速度。 以DDoS攻击防御研究的标准拓扑数据集作为实验数据，仿真实验表明，与静态路径标识方案相比，RFPi方案显著提高攻击包识别率，有效地改善DDoS攻击防御效果；相对于现有动态路径标识学习过滤方案，本文所提出的多阶段的学习过滤方案的接受率差值提高了10％～15％。

目录

文摘

英文文摘

声明

第1章绪论

1.1研究背景

1.2国内外研究现状

1.2.1国外研究现状

1.2.2国内研究现状

1.3本文的主要内容和结构

第2章拒绝服务攻击

2.1拒绝服务攻击原理

2.1.1 DoS攻击原理

2.1.2 DDoS攻击原理

2.2 DoS/DDoS攻击分类

2.2.1软件漏洞挖掘

2.2.2泛滥攻击

2.3 DDoS攻击特点和发展趋势

2.3.1 DDoS攻击特点

2.3.2 DDoS攻击发展趋势

2.4本章小结

第3章包标记技术研究

3.1 IP追踪技术

3.1.1 IP追踪的定义

3.1.2 IP追踪方法及评价

3.2包标记技术

3.2.1包标记技术的提出

3.2.2包标记算法的评价标准

3.3包标记算法的分类

3.3.1从数据包的视角分类

3.3.2从路由器的视角分类

3.4数据包的路径标识技术研究

3.4.1路径标识标记方案

3.4.2 StackPi方案

3.4.3可变长Pi标记方案

3.4.4 HCF方案

3.4.5基于优化路径标识的Pi方案

3.5本章小结

第4章基于RF位的动态路径标识模型

4.1已有路径标识方案的缺陷

4.2基于RF位的动态路径标识模型

4.2.1标记区域的选择

4.2.2 RFPi的基本思想

4.2.3 RFPi方案的理论模型

4.3相关技术分析

4.3.1 IP地址散列法

4.3.2路由器的联合标记法

4.3.3 AS对路由器标记的影响

4.4 RFPi的性能及安全性分析

4.5 RFPi方案的部署可扩展性分析

4.6本章小结

第5章基于IPPiD的多阶段DDoS攻击防御方案

5.1多阶段的学习过滤方案

5.1.1相关公式及定义

5.1.2多阶段学习过滤方案的实现

5.2基于IPPiD的DDoS攻击防御系统

5.2.1基于IPPiD防御系统的提出

5.2.2基于IPPiD防御系统描述

5.2.3 IPPiD的创建和更新

5.2.4系统的扩展性分析

5.3基于统计的RFPi动态标识模型优化

5.3.1问题的提出

5.3.2基于统计的RFPi方案描述

5.3.3基于统计的RFPi方案性能分析

5.4基于IPPiD的系统优化模型研究

5.5本章小结

第6章多阶段的动态路径表示模型仿真试验

6.1因特网数据集

6.2试验设计

6.3多阶段学习过滤方案仿真试验

6.4动态路径标识模型仿真试验

6.5本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢